Decisione di adeguatezza sulla protezione dati per il Regno Unito: i possibili scenari - Cyber Security 360

BOZZA DELLA COMMISSIONE UE

Decisione di adeguatezza sulla protezione dati per il Regno Unito: i possibili scenari

La Commissione europea ha pubblicato la bozza della decisione di adeguatezza sulla protezione dei dati personali per il Regno Unito che, se approvata, garantirà che i dati personali dell’UE potranno continuare a fluire liberamente nel Regno Unito. Il punto

02 Mar 2021
B
Monica Belfi

Avvocato, Legal Specialist/GDPR and Data Protection Specialist

La Commissione europea ha pubblicato il 19 febbraio 2021, la bozza della decisione di adeguatezza sulla protezione dei dati personali da parte del Regno Unito ai sensi del Regolamento Generale sulla protezione dei dati personali (GDPR) che, se approvata, consentirebbe alle società situate nell’Unione Europea di trasferire i dati personali in UK senza ulteriori oneri.

Decisione di adeguatezza per il Regno Unito: l’iter

La pubblicazione del draft è un passo importante nel processo di adeguatezza, ma l’iter deve essere ancora concluso: dapprima il Comitato europeo per la protezione dei dati (EDPB), ai sensi dell’art. 70 GDPR, fornirà alla Commissione il suo parere, non vincolante; successivamente, il testo dovrà essere approvato dai rappresentanti degli Stati Membri dell’UE per l’adozione finale da parte della Commissione.

WEBINAR, 13 APRILE
Come gestire la protezione dei dati sensibili su trusted cloud?
Cloud
Sicurezza

Se la decisione fosse definitivamente adottata, le organizzazioni site all’interno dell’UE potrebbero continuare a trasferire dati personali a organizzazioni nel Regno Unito senza restrizioni, e non sarebbe necessario fare affidamento su meccanismi di trasferimento dei dati, come le clausole contrattuali standard, per garantire un adeguato livello di protezione, cosa che diventerebbe, invece, indispensabile, laddove il processo di adeguatezza non dovesse essere positivamente concluso.

Già durante la seduta del Committee on Civil Liberties, Justice and Home Affairs del 14 gennaio scorso Bruno Gencarelli, responsabile della divisione Protezione e flussi di dati internazionali della Commissione Europea, aveva confermato al Parlamento europeo l’intenzione di terminare il processo decisionale entro lo scadere del periodo di transizione chiamato “the bridge”, che terminerà il 30 giugno 2021.

L’importanza di rispettare tale scadenza dipende dal fatto che a partire dal primo gennaio 2021, i trasferimenti di dati personali verso il Regno Unito restano disciplinati da un regime provvisorio, determinato dall’accordo commerciale e di cooperazione UE-UK (TCA), che con la cosiddetta “bridging clause” garantisce la piena continuità dei flussi di dati tra il SEE e il Regno Unito, senza che le aziende debbano mettere in atto alcuno strumento di trasferimento ai sensi del GDPR o del LED.

Questa soluzione è applicabile per un periodo massimo di sei mesi ed è condizionata dall’impegno del Regno Unito a non cambiare il regime di protezione dei dati attualmente in vigore. In sostanza, ciò significa che il Regno Unito deve continuare ad applicare le norme di protezione dei dati, basate sul diritto dell’UE, che erano applicabili durante il periodo di transizione.

Prima decisione di adeguatezza per il Regno Unito dopo Schrems II

La pubblicazione del draft di decisione, quindi, è un importante passo verso la conclusione della procedura. Si tratta, peraltro, della prima e unica decisione di adeguatezza dopo la sentenza “Schrems II” della Corte di giustizia dell’Unione europea. È anche la prima volta che la Commissione si è trovata ad esaminare le leggi sulla privacy di un Paese che, fino a pochi mesi fa, aveva il GDPR come principale legge sulla privacy[1].

Didier Reynders, Commissario per la giustizia, ha detto: “Un flusso di dati sicuri tra l’UE e il Regno Unito è fondamentale per mantenere stretti legami commerciali e cooperare efficacemente nella lotta contro il crimine. Oggi diamo inizio a un processo finalizzato a raggiungere questo obiettivo. Abbiamo controllato a fondo il sistema privacy che si applica nel Regno Unito dopo che ha lasciato l’Unione Europea. Ora le autorità europee per la protezione dei dati esamineranno a fondo le bozze dei testi. Il diritto fondamentale dei cittadini europei alla protezione dei dati non deve mai essere compromesso quando i dati personali viaggiano attraverso la Manica. Le decisioni di adeguatezza, una volta adottate, garantirebbero proprio questo”[2].

Le ragioni che hanno portato alla bozza UE

La Commissione, quindi, dopo circa un anno di studio del quadro normativo del Regno Unito ha determinato che il c.d. “UK GDPR” e il DPA 2018, che sono le principali norme che regolamentano il trattamento di dati personali nel Paese, assicurano un livello di protezione dei dati personali trasferiti dall’Unione europea sostanzialmente equivalente a quello garantito dal GDPR (Regolamento UE 2016/679).

La bozza di decisione analizza approfonditamente l’attuale quadro di protezione dei dati nel Regno Unito ed evidenzia diverse ragioni a fondamento della determinazione sull’adeguatezza.

Quadro normativo

  • L’esistenza di un solido quadro costituzionale. Lo Human Rights Act 1998 recepisce all’interno della legge nazionale i diritti contenuti nella European Convention on Human Rights, compreso l’articolo 8, che limita l’ingerenza di una autorità pubblica nell’esercizio del diritto alla privacy; il Regno Unito, inoltre, è soggetto alla giurisdizione della Corte europea dei Diritti dell’Uomo.
  • Applicazione del GDPR (UK GDPR): Prima del recesso dall’UE e durante il periodo di transizione della Brexit, il quadro legislativo sulla protezione dei dati personali nel Regno Unito è rimasto quello della legislazione dell’Unione Europea, avendo incorporato la legislazione dell’UE, compreso il GDPR, nel diritto dello Stato, che finora non ha subito modifiche sostanziali.

Definizioni, principi e diritti

  • Ambito materiale e territoriale e definizioni: i termini e i concetti chiave della normativa del Regno Unito sono identici o simili a quelli del GDPR, compresi i principi di liceità, correttezza e trasparenza, le basi giuridiche per un trattamento legittimo, le condizioni per il consenso, la previsione e protezione di categorie particolari di dati, la nomina di un responsabile della protezione dei dati e la necessità di valutazioni d’impatto sulla protezione dei dati, la limitazione delle finalità, l’esattezza, la minimizzazione dei dati, la limitazione della conservazione e la sicurezza dei dati, nonché gli obblighi di trasparenza, i diritti degli interessati e la responsabilità.
  • Trasferimenti di dati personali: il regime sui trasferimenti internazionali di dati personali dal Regno Unito rispecchia quello stabilito nel capo V del GDPR.
  • Le restrizioni ai diritti individuali previsti in determinati contesti (immigrazione, salvaguardia della sicurezza nazionale o degli scopi di difesa) sono state ritenute necessarie e proporzionate.

Controllo e applicazione

  • Autorità di controllo indipendente: La Commissione ritiene che l’autorità nazionale di controllo, ICO, incaricata di controllare e far rispettare le norme sulla protezione dei dati, agisca con totale indipendenza e imparzialità nello svolgimento dei suoi compiti e nell’esercizio dei suoi poteri.
  • L’ordinamento prevede la possibilità di ricorso amministrativo e giudiziario per gli interessati, che possono:
  1. presentare un reclamo all’ICO;
  2. incaricare un ente o un’organizzazione rappresentativa di presentare un reclamo all’ICO per loro conto;
  3. ottenere un rimedio giudiziario efficace contro una decisione giuridicamente vincolante dell’ICO;
  4. ricorrere in giudizio contro i titolari del trattamento direttamente davanti ai tribunali;
  5. ottenere un risarcimento del danno subito dal titolare del trattamento o dal responsabile;
  6. ricorrere ai tribunali ai sensi della legge sui diritti umani;
  7. ricorrere alla Corte europea dei diritti dell’uomo per violazione della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali. Pertanto, la Commissione ritiene che, nel complesso, i meccanismi di supervisione e le vie di ricorso nel diritto del Regno Unito consentano di individuare e punire concretamente le violazioni e offrano agli interessati i rimedi giuridici adeguati ad ottenere l’accesso ai dati personali che lo riguardano e, eventualmente, la rettifica o la cancellazione di tali dati.

Dati personali trasferiti in UK da parte di autorità pubbliche UE

La Commissione dedica ampio spazio alle questioni relative all’accesso ai dati da parte degli organi governativi nell’applicazione del diritto penale e per il perseguimento di scopi di sicurezza nazionale.

Sul tema la Commissione ha evidenziato come l’accesso ai dati da parte della pubblica autorità deve essere effettuato nel pieno rispetto della legge e in conformità con la CEDU, nonché soggetto alle limitazioni della Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale “Convenzione 108” e protocollo di modifica (Convenzione 108+).

Infine, la Commissione ritiene che qualsiasi interferenza con i diritti fondamentali delle persone i cui dati personali sono trasferiti dall’Unione europea al Regno Unito da parte delle autorità pubbliche britanniche a fini di interesse pubblico, in particolare a fini di applicazione della legge e di sicurezza nazionale, sarà limitata a quanto strettamente necessario per raggiungere l’obiettivo legittimo in questione e che esiste una protezione giuridica efficace contro tale interferenza.

Sono, inoltre, previste garanzie e diritti specifici di protezione dei dati quando questi sono trattati dalle autorità pubbliche, comprese le forze dell’ordine e gli organismi di sicurezza nazionale.

Poteri investigativi esercitati nel contesto della sicurezza nazionale

Secondo l’Investigatory Powers Act del Regno Unito del 2016 (“IPA”), integrato da una serie di codici di condotta, l’uso delle intercettazioni, così come l’accesso ai dati relativi alle comunicazioni è legittimo solo se effettuato sulla base di un mandato o di un’autorizzazione; inoltre, alle agenzie di intelligence è imposto il rispetto di obblighi specifici a tutela della privacy.

L’utilizzo dei poteri di sorveglianza di massa è comunque limitato ai servizi di intelligence, mentre le agenzie di sicurezza nazionale e alcune autorità di polizia sono autorizzate solo a singole azioni mirate.

Decisione di adeguatezza per il Regno Unito: e adesso?

Per la prima volta nelle decisioni di adeguatezza dell’UE, il progetto di decisione del Regno Unito include una disposizione secondo la quale la decisione si applicherebbe per un periodo di quattro anni dalla sua entrata in vigore e richiede una revisione dell’adeguatezza del regime giuridico del Regno Unito prima della scadenza.

Se, dopo tale periodo, l’adeguatezza non dovesse essere riconfermata dalla Commissione, che potrà estendere la durata della decisione per ulteriori quattro anni, la decisione di adeguatezza decadrà e il Regno Unito non sarà più considerato adeguato.

L’articolo 45 GDPR prevede un controllo continuo e un meccanismo di riesame periodico, ma le decisioni di adeguatezza emesse in precedenza non prevedevano una scadenza specifica.

Nel comunicato stampa di accompagnamento, la Commissione giustifica l’inserimento di una specifica durata nella decisione relativa al Regno Unito con la necessità di assicurare un costante monitoraggio anche in futuro, considerato che ora che non è più vincolato dalle norme dell’Unione Europea, il Regno Unito può modificare la legislazione nazionale in totale autonomia e senza vincoli, ad eccezione di quelli dettati dal diritto internazionale; per questo motivo, l’adesione alla Convenzione europea per la salvaguardia dei diritti dell’uomo e alla Convenzione 108, da parte del Regno Unito ha avuto un peso rilevante nella decisione[3].

Il draft di decisione di adeguatezza riguarda il flusso di dati dall’UE al Regno Unito. I flussi di dati nell’altra direzione, dal Regno Unito all’UE, sono regolati dalla legislazione britannica, che si applica dal primo gennaio 2021: il Regno Unito ha deciso che l’UE garantisce un adeguato livello di protezione e che quindi i dati possono essere trasferiti liberamente dal Regno Unito all’UE.

NOTE

  1. Draft UK adequacy decisions — A somewhat lukewarm embrace?, Jetty Tielemans.
  2. Data protection: European Commission launches process on personal data flows to UK.
  3. Draft UK adequacy decisions — A somewhat lukewarm embrace?, Jetty Tielemans.

WEBINAR
Approccio Zero Trust: quanto è importante in un progetto di security? Scoprilo nel live
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 5